IBM 发布的Websphere安全公告:
摘要
WebSphere Application Server和WebSphere Application Server Hypervisor Edition解决了用于处理Java对象反序列化的Apache Commons Collections漏洞。此漏洞不会影响7.0版之前的IBM HTTP Server或WebSphere Application Server的版本。
漏洞详情
CVEID: CVE-2015-7450
说明:由于使用Java InvokerTransformer类对数据进行反序列化,Apache Commons Collections可能允许远程攻击者在系统上执行任意代码。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意Java代码。
CVSS基本分数:9.8
CVSS时间分数:有关当前分数,请参见https://exchange.xforce.ibmcloud.com/vulnerabilities/107918
CVSS环境分数*:未定义
CVSS向量:(CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H)
受影响的产品和版本
以下版本的WebSphere Application Server和IBM WebSphere Application Server Hypervisor Edition可能会受到影响:
- 版本8.5和8.5.5传统和自由
- 8.0版
- 7.0版
WebSphere Application Server的先前版本不受影响。
修复
对于IBM WebSphere Application Server和IBM WebSphere Application Server Hypervisor Edition: 对于V8.5.0.0至8.5.5.7:
- 应用临时修订PI52103
- 要么
- 应用修订包8(8.5.5.8)或更高版本。
对于V8.0.0.0至8.0.0.11:
- 应用临时修订PI52103
- 要么
- 应用修订包12(8.0.0.12),或更高版本。
对于V7.0.0.0至7.0.0.39:
- 应用临时修订PI52103
- 要么
- 应用修订包41(7.0.0.41),或更高版本。
IBM建议您检查整个环境,以识别开源Apache Commons Collections的易受攻击的版本,并采取适当的缓解和补救措施